マイクロソフト、「Necurs」ボットネット撲滅への協調的活動を明らかに

　Microsoftは米国時間3月10日、協調的な取り組みによって「Necurs」の撲滅に向け大きく前進したことを発表した。Necursは、これまでに知られている中でも最大規模のスパムおよびマルウェアボットネットの1つで、世界中で900万台を超えるコンピュータを感染させたとされている。

　Microsoftは業界パートナーとともに、同ボットネットのドメイン生成アルゴリズムである「Necurs DGA」を解読することによって、これを実現した。DGAは、ランダムなドメイン名を生成する要素だ。

　Necursの作成者は、DGA生成のドメインを数週間または数カ月前に登録し、ボット（感染コンピュータ）が新しいコマンドを受信するための接続する同ボットネットのコマンド&コントロール（C&C）サーバーをホストする。

　「（DGAの解読により）われわれは、今後25カ月の間に作成される600万件を超える一意のドメイン名を正確に予測することができた」と、Microsoftの顧客セキュリティ＆トラスト担当バイスプレジデントを務めるTom Burt氏は述べた。

　DGAの解読によって、Microsoftと業界パートナーは、将来のNecurs C&Cサーバードメインの包括的なリストを作成することができた。そしてそれを基に現在、Necursチームによる登録をブロックおよび防止できている。

　また、Microsoftの法務チームもこれに介入し、米国内でホストされている既存のNecursドメインをMicrosoftが制御下に置くことを許可する裁判所命令を、3月5日に取得した。

　「既存のウェブサイトを制御下に置き、新しいものを登録できないようにすることにより、ボットネットの活動を大きく破壊した」とBurt氏は述べた。

　Microsoftは、35カ国のサイバーセキュリティ企業、インターネットサービスプロバイダー、ドメイン登録機関、政府のCERT、法執行機関と連携して、Necurs撲滅活動を統括し、過去最大規模のこの協調的撲滅活動を実施したという。